如何取证工具破坟删除的短信

如何取证工具破坟删除的短信

不像工作电子邮件,大多数移动短信不通过公司网络流量除了罕见的例外,当员工使用公司部署的短信应用程序。这意味着短 […]

2014-03-13

不像工作电子邮件,大多数移动短信不通过公司网络流量除了罕见的例外,当员工使用公司部署的短信应用程序。这意味着短信都对IT的一个盲点 – 也就是说,无法监控。从厂商如MobileIron的甚至是移动设备管理软件不能看短信。
然而,新的取证工具和适当的法医知识,以及拥有移动设备的,可以挖掘岁的删除的短信。MobileIron的安全大师迈克尔T Raggo给出了在游戏中的取证工具和已删除的短信恢复向量的简要介绍:
有获取短信和删除短信的方法。有实现这一点的几个向量。武士刀灯笼,氧气取证,尼泊金酯,BlackBag技术等提供工具来执行设备的道德黑客,以及数据的雕刻工具,用于分析数据。
在法医分析的载体而言,有几个。例如,该设备的实际拥有可以允许源于通过redsn0w/Cydia最初的越狱设??备的设备的成像。只要考官记录这一点,它仍然允许在法庭上。一旦越狱,你可以使用SSH(安全外壳)到设备,并执行使用像“日”,一个长期的Unix / Linux备份或映像实用工具,设备的法医图像/份。然后这些数据进行分析和瓜分使用许多前述的商业产品。必须注意的是,这是不是有点对位拷贝,闲置空间和其他的东西不成像。
的物理访问的混合是采取断电iOS设备,并使用按钮的顺序把它进入DFU(设备固件升级)模式。然后,您可以使用一些取证工具进行简单的传球码(4位PIN码)蛮力。一旦PIN码被识别,这可以被用来有时检索键和分区进行解密。然后执行相应的分析和数据雕从SMS.db文件中列举的短信消息,包括有关附件,如图片和视频资料。
或者,您也可以针对iTunes的备份,这可能是加密或解密。加密的iTunes的备份可以通过使用像那些来自ElcomSoft iPhone密码破解针对manifest.plist工具进行有针对性的。如果破解了,然后你可以访问备份。
XML 地图